De la IA “wow” a la IA “wow + evidencia”: el salto competitivo

16/12/2025 | Jorge Sánchez López

Si estás innovando con IA … Enhorabuena, este post te interesa.

La estrategia de la IA en 2026 no será “usar IA”. Será gobernarla sin perder velocidad.

La publicaciones de Agencia Española de Protección de Datos - AEPD y AESIA - Agencia Española de Supervisión de Inteligencia Artificial pone fin a la fase “probamos y ya veremos”.

Si eres CEO, DPO o estás al frente de la Función Pública, y tu estrategia es trabajar con IA esta semana (9-11 de diciembre) ha sido un punto de inflexión ineludible.

La publicación de la Política de IA Generativa de la AEPD junto a las nuevas Guías de la AESIA no es papel mojado; es la directriz que define el cumplimiento normativo en España y la UE. El mensaje regulatorio es claro: la IA deja de ser una "herramienta molona" para convertirse en un activo de alto riesgo sujeto a Gobernanza Multinivel.

Se acabó el periodo de prueba y error sin asumir consecuencias.

⚖️ La AEPD y la AESIA exigen tres pilares de obligado cumplimiento:

1. Calidad del Dato: Obligación Jurídica (El corazón de la AEPD) La Agencia Española de Protección de Datos - AEPD subraya que no hay IA lícita sin datos lícitos. El famoso Artículo 10 del Reglamento de IA (AI Act) se materializa: la calidad del dataset de entrenamiento (su pertinencia, representatividad y que esté libre de sesgos) es ahora un requisito legal. Si un sistema falla por un dato sesgado, la responsabilidad es tuya.

👉 Consejo Legal: Si utilizáis modelos externos, debéis tener garantías contractuales clarísimas de que vuestros datos corporativos no se emplean para re-entrenar el modelo general del proveedor.

2. Vigilancia Humana: El Control no es Optativo, AESIA - Agencia Española de Supervisión de Inteligencia Artificial es contundente con el concepto Human-in-the-loop. La supervisión no puede ser una formalidad para salir del paso. Exigen mecanismos reales de intervención. Un humano competente debe validar las decisiones críticas producidas por el sistema (evaluaciones de personal, scoring de riesgo, etc.).

3. La Trampa de los Términos de Uso (Adiós a la IP): El Código de Uso de la IA Generativa publicado esta semana destapa el riesgo de los proveedores. Aceptar sus términos sin leer la letra pequeña es, a menudo, ceder la Propiedad Intelectual de vuestro input.

👉 Estrategia de Riesgos: Urge migrar de cuentas "gratuitas" o estándar a modelos Enterprise o arquitecturas soberanas (on-premise o nube privada). No se puede arriesgar información confidencial por ahorrarse un euro.

De la Adopción al Buen Gobierno

Las empresas que tomen estas guías en serio e integren el Compliance desde el diseño (Privacy by Design) no solo evitarán multas millonarias; se diferenciarán como actores de confianza en un mercado cada vez más escéptico.

📚 Fuentes Oficiales de Referencia (Actualización 9-11 de Diciembre de 2025):

Agencia Española de Protección de Datos (AEPD): Política General para el Uso de IA Generativa.
Agencia Española de Supervisión de la IA (AESIA): Guías de Gobernanza y Evaluación de Conformidad.
Observatorio Sector Público e IA (OSP-IA): Código de Uso de la IA Generativa (Condiciones de Proveedores).

¿En qué fase de esta transformación está vuestra organización con la estrategia de la IA? Dejadme vuestra opinión.

Aportaciones y comentarios

Comentar →

Marc Torrente Cesteros 16/12/2025 14:13

Interesante

Invitado 16/12/2025 15:42

Hay que adaptar el uso de la IA a la normativa como en su día el RGPD, pero con esteroides, aplicando SGIA en concreto ISO 42001, a lo que dicta la normativa, tal y como estáis vieyen el post que están avanzado para ponerlas en activo en 2026, en el plan 2030.
Las reglas del juego deben seguir lo que marca la ley. Pero ..... muy interesante y con mucho que hacer.
¿No crees Marc?

Raul Morales Galisteo 17/12/2025 07:38

Estimado Jorge Sánchez, agradezco la información estratégica que compartes. Tu análisis marca un antes y un después: la IA en 2026 ya no será “usar tecnología”, sino gobernarla con rigor y velocidad. La forma en que expones los pilares de la AEPD y la AESIA —calidad del dato, vigilancia humana y gestión de riesgos contractuales— es un recordatorio contundente de que el periodo de prueba y error terminó.

Este mensaje es un llamado directo a CEOs, DPOs y líderes públicos: integrar compliance desde el diseño no es opcional, es la única vía para diferenciarse como actores de confianza en un mercado cada vez más exigente.

Gracias por poner sobre la mesa lo que muchos aún evitan: la IA sin gobernanza es un riesgo sistémico. El reto ahora es pasar del discurso a la acción.

Gracias nuevamente, Jorge, por compartir una visión tan clara y valiosa; tu aporte inspira a transformar la estrategia de IA en acción concreta y responsable.

Jorge Sánchez López 17/12/2025 22:52

Gracias por el feedback. Coincido contigo en el diagnóstico, pero me gustaría afinar un punto clave desde el pensamiento crítico.

No estamos ante un debate conceptual ni ante una “visión inspiradora” sobre la IA. Estamos ante criterios regulatorios ya publicados por AEPD y AESIA que cambian el marco de juego. A partir de aquí, no actuar no es una opción estratégica: es asumir riesgo consciente.

El problema que sigo viendo en muchas organizaciones no es la falta de discurso, sino la asimetría entre ambición tecnológica y madurez de gobierno. Se habla de innovación, pero no se sabe:

qué datos entrenan o alimentan los sistemas,

quién responde cuando la IA se equivoca,

ni qué se ha cedido al aceptar unos términos de uso.

Y ahí es donde la gobernanza deja de ser “compliance” para convertirse en dirección ejecutiva.

Pasar del discurso a la acción no significa frenar la IA; significa ponerle frenos, volante y responsabilidad, igual que hicimos en su día con finanzas, riesgos o ciberseguridad. Las organizaciones que no lo entiendan ahora no tendrán un problema técnico, tendrán un problema de gestión.

Gracias por el intercambio. Este tipo de conversaciones —claras, incómodas y basadas en hechos— son las que de verdad mueven la estrategia.